スイスで立ち上がった新規スタートアップWSLabiがこのほど、“セキュリティ研究員”がソフトウェアで見つけた脆弱性を競売形式で売り出せるショップを開設した。脆弱性の合法的手形交換所を目指すと同社は謳っているが、見る人が見ればただの組織的ブラックメールと言えなくもない。

現在リスティングに出ている脆弱性の売り物件はたったの4件。その一つ、Yahoo Messengerのクライアントサイドのバグの解説（上の画像参照）にはこう書かれている。「誰でも遠隔操作で被害者のアドレスブックから情報を引き出すことができます（被害者とやり取りは若干必要）。 任意のコード実行は可能ですが自明ではありません。分析詳細とDoS PoCアリ 」。最初のビッドは2千ユーロ。

製品FAQを読むと、「正当な商品を間違った相手に売るリスクを最小限に抑える」ため買い手については全員「慎重に評価を行う」とあるが、脆弱性を買い取るにふさわしい買い手など大概ひとりだろう（上のケースではYahoo）。それにこんな情報、買う資格が与えられていい人間など他に誰がいるというのだろう、この辺のことは不明瞭なままだ。

自分たちはただ単にアングラで行われている取引きを合法的市場でやろうとしているだけだと同社は言っている。それはそうかもしれないが、それにしても生煮えの印象が拭えない。

[原文へ]